WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
443 bài viết
Patch Tuesday tháng 2 của Microsoft vá 56 lỗi, 1 lỗi bị khai thác trên thực tế
Trong số 56 lỗi được xử lý của bản vá định kỳ Patch Tuesday tháng 2, có 11 lỗi được đánh giá ở mức nghiêm trọng, 43 lỗi quan trọng, 2 lỗi trung bình.
Đáng chú ý, trong bản cập nhật lần này, có một lỗi ở mức quan trọng đã bị khai thác trên thực tế và 6 lỗi đã được tiết lộ công khai.
Các lỗi tồn tại trong các thành phần của Microsoft Windows, .NET Framework, Azure IoT, dịch vụ Azure Kubernetes, Microsoft Edge trên Android, Exchange Server, Office và Office Services, các ứng dụng Web, Skype cho doanh nghiệp và Lync, Windows Defender.
Lỗi đã bị khai thác trên thực tế
Lỗ hổng CVE-2021-1732 là lỗi leo thang đặc quyền (EoP), có điểm CVSS là 7.8, tồn tại trong kernel của hệ điều hành Win32k của Windows. Nó cho phép người dùng đăng nhập để thực thi mã với đặc quyền cao hơn bằng cách chạy một ứng dụng tự tạo. Nếu thành công, kẻ tấn công có thể thực thi mã trong kernel và chiếm quyền hệ thống, về cơ bản cho phép chúng tự do kiểm soát trên máy tính bị xâm nhập.
Lỗ hổng này được khuyến cáo cần được ưu tiên vá vì các nhà nghiên cứu đã phát hiện một số lượng ít các cuộc tấn công nhắm vào các nạn nhân tại Trung Quốc bởi nhóm tin tặc Bitter APT. Các cuộc tấn công này được phát hiện vào tháng 12 năm 2020.
Các lỗi nghiêm trọng
11 lỗi nghiêm trọng đều cho phép thực thi mã từ xa (RCE) và được ưu tiên cập nhật ở mức cao nhất.
Lỗ hổng trong .NET Core/Visual Studio Bug
Đây là lỗi nghiêm trọng duy nhất (CVE-2021-26701) đã được công bố công khai, cho phép kẻ tấn công từ xa chưa được xác thực thực thi mã tùy ý trên hệ thống bị ảnh hưởng.
Windows Fax Bugs
Các lỗi CVE-2021-1722 và CVE-2021-24077 đều nằm trong dịch vụ Windows Fax. Đây là dịch vụ được cài đặt cho các máy fax gồm gửi, nhận, xem và in tài liệu, có trên tất cả các phiên bản Microsoft Windows 7, Windows 8, Windows 10 và một số phiên bản trước đó.
Nếu khai thác thành công lỗ hổng, tin tặc có thể nắm quyền kiểm soát hệ thống bị ảnh hưởng, sau đó có thể cài các chương trình, xem, thay đổi, xóa dữ liệu hoặc tạo tài khoản với toàn quyền người dùng. Dịch vụ này thường được bật mặc định.
Lỗi trong TCP/IP
CVE-2021-24074 và CVE-2021-24094 là hai lỗ hổng trong TCP/IP của Windows. Lỗi đầu tiên nằm trong cách Windows xử lý định tuyến nguồn iPv4, lỗ hổng thứ hai là cách Windows xử lý gói tin iPv6.
Do các lỗ hổng này ảnh hưởng đến bộ nhớ ngăn xếp mạng, không yêu cầu tương tác từ người dùng và có thể bị khai thác bằng cách gửi một lưu lượng mạng độc hại đến thiết bị nên việc tin tặc khai thác lỗ hổng này chỉ là vấn đề thời gian.
Lỗi trong Windows Codec Pack
Windows Camera Codec Pack (CVE-2021-24091), nếu khai thác thành công, tin tặc có thể chạy mã tùy ý với vai trò người dùng hiện tại.
Nếu người dùng hiện tại truy cập bằng quyền admin thì tin tặc có thể chiếm quyền kiểm soát hệ thống bị ảnh hưởng. Để khai thác lỗ hổng này yêu cầu người dùng phải mở một file tự tạo trên phiên bản codec pack bị ảnh hưởng. Nếu người dùng không thực hiện điều này, kẻ xấu có thể lừa họ mở một email hoặc truy cập một trang web để tải file độc hại.
Các vấn đề trong Windows DNS
Khi các máy chủ Hệ thống tên miền (DNS) xử lý không đúng các truy vấn cũng sẽ tạo điều kiện cho tin tặc chạy mã tùy ý với tài khoản local (CVE-2021-24078).
Các lỗ hổng nghiêm trọng khác gồm có:
Để cài đặt bản vá, người dùng vào phần Start -> Settings -> Update & Security -> Windows Update hoặc lựa chọn Check for Windows updates.
Đáng chú ý, trong bản cập nhật lần này, có một lỗi ở mức quan trọng đã bị khai thác trên thực tế và 6 lỗi đã được tiết lộ công khai.
Các lỗi tồn tại trong các thành phần của Microsoft Windows, .NET Framework, Azure IoT, dịch vụ Azure Kubernetes, Microsoft Edge trên Android, Exchange Server, Office và Office Services, các ứng dụng Web, Skype cho doanh nghiệp và Lync, Windows Defender.
Lỗi đã bị khai thác trên thực tế
Lỗ hổng CVE-2021-1732 là lỗi leo thang đặc quyền (EoP), có điểm CVSS là 7.8, tồn tại trong kernel của hệ điều hành Win32k của Windows. Nó cho phép người dùng đăng nhập để thực thi mã với đặc quyền cao hơn bằng cách chạy một ứng dụng tự tạo. Nếu thành công, kẻ tấn công có thể thực thi mã trong kernel và chiếm quyền hệ thống, về cơ bản cho phép chúng tự do kiểm soát trên máy tính bị xâm nhập.
Lỗ hổng này được khuyến cáo cần được ưu tiên vá vì các nhà nghiên cứu đã phát hiện một số lượng ít các cuộc tấn công nhắm vào các nạn nhân tại Trung Quốc bởi nhóm tin tặc Bitter APT. Các cuộc tấn công này được phát hiện vào tháng 12 năm 2020.
Các lỗi nghiêm trọng
11 lỗi nghiêm trọng đều cho phép thực thi mã từ xa (RCE) và được ưu tiên cập nhật ở mức cao nhất.
Lỗ hổng trong .NET Core/Visual Studio Bug
Đây là lỗi nghiêm trọng duy nhất (CVE-2021-26701) đã được công bố công khai, cho phép kẻ tấn công từ xa chưa được xác thực thực thi mã tùy ý trên hệ thống bị ảnh hưởng.
Windows Fax Bugs
Các lỗi CVE-2021-1722 và CVE-2021-24077 đều nằm trong dịch vụ Windows Fax. Đây là dịch vụ được cài đặt cho các máy fax gồm gửi, nhận, xem và in tài liệu, có trên tất cả các phiên bản Microsoft Windows 7, Windows 8, Windows 10 và một số phiên bản trước đó.
Nếu khai thác thành công lỗ hổng, tin tặc có thể nắm quyền kiểm soát hệ thống bị ảnh hưởng, sau đó có thể cài các chương trình, xem, thay đổi, xóa dữ liệu hoặc tạo tài khoản với toàn quyền người dùng. Dịch vụ này thường được bật mặc định.
Lỗi trong TCP/IP
CVE-2021-24074 và CVE-2021-24094 là hai lỗ hổng trong TCP/IP của Windows. Lỗi đầu tiên nằm trong cách Windows xử lý định tuyến nguồn iPv4, lỗ hổng thứ hai là cách Windows xử lý gói tin iPv6.
Do các lỗ hổng này ảnh hưởng đến bộ nhớ ngăn xếp mạng, không yêu cầu tương tác từ người dùng và có thể bị khai thác bằng cách gửi một lưu lượng mạng độc hại đến thiết bị nên việc tin tặc khai thác lỗ hổng này chỉ là vấn đề thời gian.
Lỗi trong Windows Codec Pack
Windows Camera Codec Pack (CVE-2021-24091), nếu khai thác thành công, tin tặc có thể chạy mã tùy ý với vai trò người dùng hiện tại.
Nếu người dùng hiện tại truy cập bằng quyền admin thì tin tặc có thể chiếm quyền kiểm soát hệ thống bị ảnh hưởng. Để khai thác lỗ hổng này yêu cầu người dùng phải mở một file tự tạo trên phiên bản codec pack bị ảnh hưởng. Nếu người dùng không thực hiện điều này, kẻ xấu có thể lừa họ mở một email hoặc truy cập một trang web để tải file độc hại.
Các vấn đề trong Windows DNS
Khi các máy chủ Hệ thống tên miền (DNS) xử lý không đúng các truy vấn cũng sẽ tạo điều kiện cho tin tặc chạy mã tùy ý với tài khoản local (CVE-2021-24078).
Các lỗ hổng nghiêm trọng khác gồm có:
- Lỗ hổng trong Windows Print Spooler (CVE-2021-24088) ảnh hưởng đến Windows Local Spooler là một thành phần quan trọng trong hệ điều hành Windows, lưu trữ các lệnh in trong bộ nhớ cho đến khi máy in sẵn sàng.
- Tiếp theo là lỗi trong .NET Core trên Linux (CVE-2021-24112 và CVE-2021-24093). Hai lỗ hổng đều được tích hợp trong các công cụ khai thác và được thực hiện qua các chiến dịch lừa đảo cấp thấp nhắm vào người dùng.
- CVE-2021-1733, lỗ hổng leo thang đặc quyền cao ảnh hưởng đến tiện tích Sysinternals PsExec.
- CVE-2021-1727, lỗ hổng leo thang đặc quyền trong Windows Installer.
- CVE-2021-24098, lỗ hổng tấn công từ chối dịch vụ (DoS) trong trình điều khiển Windows Console.
- CVE-2021-24106, lỗ hổng tiết lộ thông tin trong Windows DirectX
- CVE-2021-1721, lỗi tấn công DoS trong .NET Core và Visual Studio
Để cài đặt bản vá, người dùng vào phần Start -> Settings -> Update & Security -> Windows Update hoặc lựa chọn Check for Windows updates.
Theo The Hacker News, Bleeping Computer